語境判定樹建模與工作流設計驗證

摘 要： 針對多角色協同交互式工作流系統中多重語境約束交互操作導致冗余操作和錯誤操作的問題，提出語境判定樹CDT模型。采用元模型建模方法給出CDT建模規范，利用令牌建立動態計算規則，并討論比較CDT和其他模型的特點，分析語境判定樹模型的優勢。實例分析表明，該模型能夠滿足安全性驗證需求，具有良好的規范性、適用性和可擴展性。

關鍵字： 語境判定樹； 安全性驗證； 工作流系統； 多角色協同； 元模型

中圖分類號： TN02?34； TP311 文獻標識碼： A 文章編號： 1004?373X（2015）13?0081?04

Abstract： In multi?role collaboration interactive workflow system， the problems of redundant operation and error operation are caused by multiple context constraint interoperate， so the context decision tree （CDT） model is proposed. The modeling specification of CDT is provided by the modeling method of meta?model. The dynamic calculation rules are built by token. The features between CDT and other models are compared and discussed. The advantages of context decision tree model are analyzed. The example analysis shows that the proposed model satisfies the requirements of security verification， and also has good normalization， applicability and extensibility.

Keywords： context decision tree； security verification； workflow system； multi?role collaboration； meta?model

0 引 言

設計多角色協同交互式工作流系統時，不同的角色共享界面和操作的數量遠多于單用戶系統[1]，用戶操作受到多重動態語境約束，工作流設計的安全性驗證必不可少。安全性驗證的目的是保證在特定的環境中（系統特定部署約束）使正確的主體（特定角色和用戶約束）在正確的時間、地點（特定對象類型和狀態約束）執行正確的操作（特定后置條件約束）。傳統的訪問控制機制，如基于角色訪問控制RBAC[2]、訪問控制表ACL[3]等無法滿足動態語境分析的需求。本文采用元模型建模方法，旨在探索一種分析復雜語境的語境判定樹CDT模型，用來實現工作流設計方案的安全性驗證。

1 語境判定樹概述

決策樹（Decision Tree）又稱判定樹，常用于構建預測模型[4]。樹中每個節點表示某個對象，而每個分叉路徑則代表某個可能的屬性值，從根節點到葉節點所經歷的路徑為一組條件序列，表示決策的過程。

語境（context）是某事物所存在的環境，它為該事物的存在提供特定條件，同時也約束了該事物的性質和行為。在工作流系統中，操作處于特定的語境條件中，包括當前用戶名，用戶角色，操作對象，對象類別，對象狀態等一組屬性，這些語境屬性對當前操作起約束和引導的作用。

將語境條件的計算、判定、交互和推理納入到判定樹的節點和路徑中，提出語境判定樹（Context Decision Tree，CDT）模型。針對多角色協同交互式工作流系統的安全性問題，語境判定樹應滿足三點需求：

（1） 安全性驗證。驗證需求規格與設計方案之間對關鍵操作的安全控制要求的一致性和完整性。

（2） 交互選擇。需支持用戶交互選擇的判定路徑，保證安全的同時能提高交互效率。

（3） 逐步遞進與動態判定。需支持分步驟實現語境條件的計算、判定與推理。一個步驟中能根據前面已知條件動態計算下一步所需語境屬性，下一步判定能依賴前步計算的結果，最終控制關鍵操作的安全調用。

2 語境判定樹建模規范

2.1 元模型

元模型中僅包含一個元類CDTNode，表示語境判定樹CDT的節點及有向邊，如圖1所示。

一個CDTNode對象表示一個CDT模型中的一個語境條件判定和計算單元。

屬性與關聯：

（1） 命名N（name）：一個文本說明，以區別其他相鄰節點。命名可為空。

（2） 條件C（cond）：一個邏輯表達式，表示進入該節點的判定路徑所需滿足的必要條件。該條件與其上游節點條件之間是邏輯與關系，以形成合取式。條件可為空，若為空，表示恒為真。條件中的操作數是語境條件屬性（如角色、用戶名、對象類型名、對象屬性名、臨時命名等）。操作符為普通邏輯操作符（與∧，或∨，非?）。

（3） 動作A（actions）：一個或一系列動作，表示當滿足條件C時所執行的一組計算動作的序列。計算結果可被其下游節點使用。葉節點上的動作主要是調用受保護的關鍵性操作。動作可對業務邏輯產生副作用，即創建新對象，改變對象屬性或關聯等。動作序列可包含分支和循環。動作A得到一次執行的充要條件是其條件C為真且得到一個執行令牌。

（4） 下游節點類型（downKind）：當前節點到其多個下游節點有兩種關系：并行或選擇。前者是計算下游條件后自動選擇，后者是人工交互選擇。

（5） 下游節點（down）：自關聯UpperToDown指向0個或多個下游節點down。為便于實現，設計為單向關聯。

2.2 令牌規則

采用令牌token來實現節點之間的動態計算關系，主要是順序節點、并行下游節點、選擇下游節點、多個上游節點的令牌傳遞規則。

2.2.1 順序節點

順序結構的多個節點表示一系列語境條件之間的合取關系和從屬關系。如圖2所示，以下面3個節點的一個模型為例說明順序節點的令牌傳遞規則。

計算過程：節點1得到一個令牌t后，計算其條件c1。若為真，則執行as1，其結果可被下游獲取，執行動作如正常完成，則將該令牌沿有向邊傳給下游節點；若條件c1為假，則不執行動作，并撤銷令牌t。如此執行，下游節點動作as3執行完成后上交令牌t，表示一次計算判定執行完成，形成了一條判定路徑。該路徑的語境條件為：c1∧c2∧c3，作為動作as3執行的必要條件。該合取式不適用交換律，因為這些條件有序。

2.2.2 并行下游節點

并行下游節點表示有多個下游節點時，自動下傳令牌的情形。若僅有一個下游節點前置條件為真，則作為下游路徑；若有多個節點條件為真，則任選一個作為下游路徑；若所有下游節點的前置條件都為假，則模型錯誤，下傳令牌失敗，令牌被阻塞。表示方法如圖3所示。

并行下游結構并非意味著下游動作并行執行，而是下游之間動作執行的互斥關系。

2.2.3 選擇下游節點

選擇下游節點表示有多個下游節點時，用戶交互選擇一個下游節點或放棄的情形。表示方法如圖4所示。

選擇下游節點用虛線表示。上游節點得到令牌，計算條件c為真，執行其動作as，然后計算下游節點1的條件，若為真則將其納入可選節點集合[A；]若為假則不可選。如此計算所有下游節點，得到一個可選節點集合[A。]若[A]不為空，用戶交互選擇其中一個作為下游節點，將令牌傳給它，再執行該節點動作。若[A]為空，則撤銷令牌。

2.2.4 多個上游節點

多個上游節點結構，表示任一上游節點傳來令牌，該節點條件成立就執行動作的情形。表示方法如圖5所示。

圖5中對下游節點3，任何一條入邊上得到一個令牌，就開始計算。動作as3執行的充要條件是（c1∨c2）∧c3成立且得到一個令牌。

這種結構實際上是兩個節點或兩條路徑合并的結果：（c1∧c3）∨（c2∧c3）=（c1∨c2）∧c3。

這是合取對于析取的分配律。這種結構“破壞”了有向樹規則，有向樹要求節點入度不大于1。CDT模型中允許這種結構的原因是合并可有效減少冗余節點。

2.3 優化方法

決策樹剪枝，就是刪除決策樹的某些分支，以此減小決策樹的尺寸[5]。對于CDT的優化方法屬于決策樹的后剪枝方法。

對CDT的優化可減少節點數量，減少節點操作的重復計算，可在滿足特定工作流的前提下，消除冗余節點及其邊。優化可通過以下操作來實現：

（1） 條件向前拉。如果兄弟節點之間都具有一個相同條件c，那么可將該條件拉到其父節點，父節點的一次性判定可避免在多個下游節點上重復。

（2） 條件向后推。如果父節點的一個條件c，包含了與其子節點相關的語境條件，并且此子節點的語境條件是獨享的，則應將條件c推到其子節點上。

（3） 合并節點。如果兩個節點的條件和動作都相同，則合并為一個節點。合并后的有向邊需保持，但不能增加路徑。合并節點可消除冗余節點，但可能“破壞”樹形結構。

（4） 分離節點。如果節點A包含了過多的語境條件或者操作動作，可將節點A分離為多個順序連通的節點。

對CDT進行剪枝優化，可縮小CDT規模，消除冗余節點，減少節點的語境計算。

3 討論與比較

圖論中的有向樹是任意兩個節點間有且僅有一條路徑[6]。而CDT模型中允許存在入度大于1的節點，即合并節點。CDT借鑒了決策樹的結構特點，但出于消除冗余節點的目的，合并冗余節點能更好地滿足實際軟件需求，而不必拘泥于嚴格的有向樹。

CDT元模型是一個規范的面向對象模型，采用面向對象編程語言易于實現，可直接支持具體項目設計，也可支持模擬運行和安全性驗證。故此CDT具有良好的適用性。

CDT作為一種較通用的語境判定和驗證方法，可針對不同平臺或框架進行擴展。例如對于多角色協同Web系統，可擴展屬性來適應Web計算結構。常見擴展是一個屬性objectScope對象作用域，使每個節點對應Web系統4層對象作用域（如應用、會話、請求、頁面）中的某一層，使節點能直接訪問該層語境屬性。擴展CDT可用于多種領域，如醫療領域中的交互式病情預診和用藥安全指導等。CDT具有良好的可擴展性。

CDT是對傳統的基于角色控制訪問RBAC的擴展和完善。傳統RBAC多用于靜態的粗粒度（如頁面級）的角色授權[2]，CDT可將角色作為一種語境屬性，能支持動態的細粒度（操作級）的角色授權和角色履職。

表1給出本方法與其他相關方法的比較。

4 實例分析

為了說明語境判定樹CDT對于復雜語境的分析判定作用，在此設置一個簡單的操作序列，病人通過兩條判定路徑提交自己的病人服務申請。從三個方面驗證該流程設計的合理性。如圖6所示。

4.1 安全性驗證

病人提交服務申請的需求可能是抽象的、隱晦的，也可能不一致、不完整。安全性驗證就是將CDT模型與需求規范之間比較，以發現兩者間的差異。例如第一條路徑的操作序列p1.cond=“role=‘病人’∧所屬社區=‘新河’∧用戶有私人醫生∧申請格式校驗通過”，若p1.cond和安全性需求SR雙向蘊含，則該條路徑是語境安全的。

定義1：設CDT有一個葉節點a，若所有到達的路徑P={p1，p2，…}都是語境安全的，則稱葉節點a是語境安全的。

定義2：對于一個CDT，若任何一個葉節點都是語境安全的，則稱該CDT是語境安全的。

以上定義用于驗證一個CDT中的路徑和節點的語境安全性。由CDT的定義和結構特點可推理，CDT是一個連通且無回路的有向圖，可借助已有算法，如深度優先遍歷DFS[10]，計算從根到所有葉節點的所有路徑，然后驗證每條路徑的安全性。

4.2 一致性驗證

圖6中的每一條途徑，均不存在如A∧…∧?A前后邏輯不一致的現象，可判定該設計滿足一致性驗證。注意可能存在某個動作改變了對象的狀態，使得條件A變為?A，若存在這樣的動作且合理則一致；若不存在，則不一致。

4.3 冗余驗證

圖6中的p.cond將用戶角色的判定放在節點1上，避免了在節點2和節點3上的重復判定，可以有效提高操作計算效率。同時計算p1.cond和p2.cond，并不存在A∧…∧A這樣前后條件重復判定的情況，可判定無冗余操作計算。注意當對象狀態發生改變的時候，處于安全性考慮可能會出現條件重復計算，屬于合理冗余。

5 結 語

針對多角色協同交互式工作流系統安全性設計和驗證的復雜性，結合語境和決策樹概念，用元模型方式提出語境判定樹CDT模型。詳細介紹了CDT模型的令牌傳遞規則，并討論比較了CDT相比于其他建模方法的特性和優勢，最后通過實例分析證明CDT支持安全性驗證，一致性驗證和冗余驗證。該建模方法具有良好的規范性、適用性和可擴展性，對于復雜的交互式工作流系統的設計開發具有重要意義。

參考文獻

[1] QUNOO H， RYAN M. Modelling dynamic access control policies for web?based collaborative systems [M]// FORESTI S， JAJODIA S. Data and applications security and privacy XXIV. Berlin： Springer， 2010： 295?302.

[2] 行燕，高榮芳.基于角色訪問控制機制在Web 信息系統中的應用[J].現代電子技術，2007，30（16）：157?159.

[3] CANKAYA H C. Access control lists [M]// HENK C A， TIBORG V. Encyclopedia of cryptography and security. New York： Springer， 2011： 9?12.

[4] SWANEY D L， MCALISTER G C， COON J J. Decision tree?driven tandem mass spectrometry for shotgun proteomics [J]. Nature Methods， 2008， 5（11）： 959?964.

[5] TRABELSI S， ELOUEDI Z， MELLOULI K. Pruning belief decision tree methods in averaging and conjunctive approaches [J]. International Journal of Approximate Reasoning， 2007， 46（3）： 568?595.

[6] 盧開澄，盧華明.圖論及其應用[M].北京：清華大學出版社，1995.

[7] 歐陽俊，楊貫中，陶勇，等.基于對象 Petri網工作流建模的研究與實現[J].計算機工程與設計，2005，26（10）：2688?2691.

[8] 胡春萍，王一平，梁欣霆.UML在系統開發中的應用研究[J].現代電子技術，2002，25（8）：77?80.

[9] MORENO N， FRATERNALI P， Vallecillo A. WebML modelling in UML [J]. IET Software， 2007， 1（3）： 67?80.

[10] TARJAN R. Depth?first search and linear graph algorithms [J]. SIAM Journal on Computing， 1972， 1（2）： 146?160.